首页 > 银行 > 银行卡 > 正文

加强银行卡风险管理 央行推多因素身份认证

文章来源:中国经济新闻网
字体:
发布时间:2016-07-20 11:00:14

  针对银行卡在支付安全方面遇到的一系列问题及挑战,央行日前发布《中国人民银行关于进一步加强银行卡风险管理的通知》(以下简称《通知》),对参与银行卡支付产业各机构给出比较明确的管控指导方向,旨在进一步加强银行卡信息的安全管理,提升支付风险防控能力。《通知》对于四个方面的内容给予着重强调: 强化银行卡信息的安全管理,加大银行卡互联网交易风险防控力度,切实防范磁条卡伪卡欺诈交易风险,以及严格落实各项规定,加大督查处罚力度。

  身份认证的新要求

  近年来,随着移动通信技术和互联网金融的快速发展,移动支付、快捷支付早已融入了人们的日常生活当中。而在支付过程中,尤其是快捷支付,不使用U盾或动态令牌,极易出现各类的安全漏洞,也导致支付纠纷事件频发。因此除了支付密码和短信验证码之外,还需要更安全的身份认证方式。

  为加大银行卡互联网交易风险防控力度,《通知》要求加强业务开通身份认证安全管理。其实,身份验证这一监管要求在之前的《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》、《非银行支付机构网络支付业务管理办法》中就已提出,本次的《通知》对这个部分做了进一步明确的要求,力求采取有效措施切实保障信息安全。根据《通知》的规定,自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权。

  此外,《通知》还给出了三种身份鉴别的组合方式:一是采用符合《金融电子认证规范》(JR/T 0118)的数字证书,并组合交易密码等至少一种认证因素。二是采用符合《动态口令密码应用技术规范》(GM/T 0021)的动态令牌设备,并组合交易密码等至少一种认证因素。三是至少组合两种动态认证因素(如动态验证码、基于客户行为的动态挑战应答等),并采用语音、短信、数据(如手机银行、即时通讯、邮件)等至少两种不同通信渠道。

  SOTP技术助力

  “移动互联网时代,去介质化已经成为了趋势。银行卡逐渐经脱离了硬件实体的范畴,变成了一个广义的概念。然而人们在享受便捷的支付体验的同时,也面临着越来越大的安全风险。近日央行发布《通知》要求进一步加强银行卡风险管理,对于维护广大人民群众切身利益,规范产业环境是非常重要和及时的。而作为身份认证领域的领军企业,众人科技始终致力于采用自主创新技术为用户提供‘安全即便捷’的支付安全解决方案。”上海市信息安全行业协会会长、上海众人网络安全技术有限公司董事长谈剑峰表示。

  面对多因素身份认证的问题,众人科技利用时间、空间、个体、事物多因素组合确定动态的网络要素关系,重构网络事件的唯一结构,发明创新密码技术SOTP(Super One-Time-Password),即可重构多因素动态认证技术。此技术创新地实现了密钥与算法的融合,在无需增加硬件SE的前提下,采用软实现的技术路径开创式地解决了移动设备中轻量化安全存储密钥的关键性问题。同时可基于“一人一算法”+“一机一算法”+“一次一密”+“一时一密”的极高安全特性,与风险感知、大数据风控、主动防御机制、多因素认证等要素相结合。

  采用多因素身份认证方式,保障安全规范,是各大商业银行、支付机构、和商业机构等面临的一大考验。很多机构担心《通知》推出后,会对一直采用单因素验证手段的快捷支付业务带来巨大的冲击。而SOTP的推出,正符合了《通知》这份行业技术规范的各种要求,可以从技术层面为这些机构提供助力支持,帮助他们实现多因素身份认证,有效保护移动互联网用户的身份认证安全、个人信息安全以及应用数据安全,顺利推进支付业务。而《通知》要求增加多因素身份验证手段,也会让众多用户担忧支付过程中增加的环节会使快捷支付变得并不快捷。其实,只要用户在设备上安装SOTP,很多技术工作都是在后台完成操作,并不增加用户的负担,其仍然可以通过交易密码的方式完成快捷支付过程。SOTP在大幅降低信息安全风险的同时,也让用户可以安享方便安全的用卡体验。